ترمیم دو آسیب‌پذیری روز-صفر در اصلاحیه‌های ماه ژوئن مایکروسافت

سه‌شنبه، 20 خرداد، شرکت مایکروسافت (Microsoft)، مجموعه‌‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی ژوئن 2025 منتشر کرد. اصلاحیه‌های مذکور، 67 آسیب‌پذیری را که 2 مورد آنها، روز-صفر گزارش شده‌اند در محصولات مختلف این شرکت ترمیم می‌کنند.

 

نکته قابل توجه این که حداقل یکی از این آسیب‌پذیری‌های ترمیم‌شده، از مدتی پیش، موردسوءاستفاده مهاجمان قرار گرفته‌اند.

 

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این به‌روزرسانی‌های منتشرشده به‌طور اجمالی مورد بررسی قرار گرفته است.

 

مجموعه‌اصلاحیه‌های ماه ژوئن، انواع مختلفی از آسیب‌پذیری‌ها از جمله موارد زیر را در محصولات مایکروسافت ترمیم می‌کنند:

 

  • Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
  • Elevation of Privilege (افزایش سطح دسترسی)
  • Information Disclosure (افشای اطلاعات)
  • Denial of Service – به اختصار DoS (منع سرویس)
  • Security Feature Bypass (دور زدن سازوکارهای امنیتی)
  • Spoofing (جعل)

 

RCE و Elevation of Privilege، به ترتیب با 25 و 13 مورد، بیشترین سهم از انواع آسیب‌پذیری‌های این ماه را به خود اختصاص داده‌اند.

 

9 مورد از آسیب‌پذیری‌های وصله‌شده، “بحرانی” (Critical) گزارش شده‌اند. شدت سایر آسیب‌پذیری‌ها نیز “زیاد” (Important) اعلام شده است. در درجه‌بندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “بحرانی” تلقی شده و اصلاحیه‌هایی که این نوع نقاط ضعف را ترمیم می‌کنند، بالاترین درجه حساسیت یا “بحرانی” را دریافت می‌نمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیه‌هایی با درجه حساسیت “زیاد” برطرف و ترمیم می‌گردند.

 

همان‌طور که اشاره شد 2 مورد از آسیب‌پذیری‌های وصله‌شده، از نوع “روز-صفر” (Zero-day) اعلام شده‌اند. مایکروسافت، آن دسته از آسیب‌پذیری‌ها را روز-صفر می‌داند که قبل از عرضه اصلاحیه و به‌روزرسانی امنیتی برای آنها، یا موردسوءاستفاده مهاجمان قرار گرفته‌اند یا جزییات آنها به‌طور عمومی افشا شده باشد.

 

از مجموع 2 آسیب‌پذیری روز-صفر این ماه، ضعف امنیتی CVE-2025-33053 از قبل توسط مهاجمان اکسپلویت شده است. این آسیب‌پذیری، ضعفی از نوع RCE است که افزونه Web Distributed Authoring and Versioning – به اختصار WEBDAV – از آن متأثر می‌شود. سوءاستفاده موفق از CVE-2025-33053 به مهاجم اجازه می‌دهد تا کد دلخواه خود را به‌صورت از راه دور بر روی سیستم آسیب‌پذیر اجرا کند. در اطلاعیه مایکروسافت آمده است که برای بهره‌برداری از این آسیب‌پذیری، کاربر باید روی یک URL ویژه WebDAV که به‌طور خاص طراحی شده، کلیک کند. گفته می‌شود آسیب‌پذیری مذکور در حملات روز-صفر یک گروه APT اکسپلویت شده است.

 

CVE-2025-33073 دیگر آسیب‌پذیری روز-صفر این ماه است که اگر چه جزییات آن به‌صورت عمومی افشا شده اما موردی دال بر سوءاستفاده مهاجمان از آن گزارش نشده است. پودمان SMB در سیستم عامل Windows از این آسیب‌پذیری متأثر می‌شود. در اطلاعیه مایکروسافت آمده که کنترل دسترسی نادرست در پودمان SMB در Windows، به مهاجمی که از قبل مجاز شناخته شده، اجازه می‌دهد تا سطح دسترسی خود را افزایش دهد. همچنین اشاره شده که برای بهره‌برداری از این آسیب‌پذیری، نفوذگر می‌تواند یک اسکریپت مخرب خاص را اجرا کند تا سیستم قربانی را وادار به اتصال به سیستم مهاجم از طریق SMB کرده و در آن احراز هویت کند. این فرآیند می‌تواند در نهایت منجر به افزایش سطح دسترسی شود.

 

فهرست کامل آسیب‌پذیری‌های ترمیم‌شده توسط مجموعه‌اصلاحیه‌های ژوئن 2025 مایکروسافت در جدول زیر قابل مطالعه است:

 

تاریخ انتشار

تاریخ آخرین به‌روزرسانی

شناسه

شرح

افشای عمومی

گزارش سوءاستفاده

Jun 10, 2025

Jun 10, 2025

CVE-2025-47977

Nuance Digital Engagement Platform Spoofing Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47969

Windows Virtualization-Based Security (VBS) Information Disclosure Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47968

Microsoft AutoUpdate (MAU) Elevation of Privilege Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47962

Windows SDK Elevation of Privilege Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47959

Visual Studio Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47957

Microsoft Word Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47956

Windows Security App Spoofing Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47955

Windows Remote Access Connection Manager Elevation of Privilege Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47953

Microsoft Office Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47176

Microsoft Outlook Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47175

Microsoft PowerPoint Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47174

Microsoft Excel Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47173

Microsoft Office Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47172

Microsoft SharePoint Server Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47171

Microsoft Outlook Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47170

Microsoft Word Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47169

Microsoft Word Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47168

Microsoft Word Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47167

Microsoft Office Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47166

Microsoft SharePoint Server Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47165

Microsoft Excel Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47164

Microsoft Office Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47163

Microsoft SharePoint Server Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47162

Microsoft Office Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-47160

Windows Shortcut Files Security Feature Bypass Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33075

Windows Installer Elevation of Privilege Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33073

Windows SMB Client Elevation of Privilege Vulnerability

بله

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33071

Windows KDC Proxy Service (KPSSVC) Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33070

Windows Netlogon Elevation of Privilege Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33069

Windows App Control for Business Security Feature Bypass Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33068

Windows Standards-Based Storage Management Service Denial of Service Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33067

Windows Task Scheduler Elevation of Privilege Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33066

Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33065

Windows Storage Management Provider Information Disclosure Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33064

Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33063

Windows Storage Management Provider Information Disclosure Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33062

Windows Storage Management Provider Information Disclosure Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33061

Windows Storage Management Provider Information Disclosure Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33060

Windows Storage Management Provider Information Disclosure Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33059

Windows Storage Management Provider Information Disclosure Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33058

Windows Storage Management Provider Information Disclosure Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33057

Windows Local Security Authority (LSA) Denial of Service Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33056

Windows Local Security Authority (LSA) Denial of Service Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33055

Windows Storage Management Provider Information Disclosure Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33053

Web Distributed Authoring and Versioning (WEBDAV) Remote Code Execution Vulnerability

خیر

بله

Jun 10, 2025

Jun 10, 2025

CVE-2025-33052

Windows DWM Core Library Information Disclosure Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-33050

DHCP Server Service Denial of Service Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-32725

DHCP Server Service Denial of Service Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-32724

Local Security Authority Subsystem Service (LSASS) Denial of Service Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-32722

Windows Storage Port Driver Information Disclosure Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-32721

Windows Recovery Driver Elevation of Privilege Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-32720

Windows Storage Management Provider Information Disclosure Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-32719

Windows Storage Management Provider Information Disclosure Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-32718

Windows SMB Client Elevation of Privilege Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-32717

Microsoft Word Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-32716

Windows Media Elevation of Privilege Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-32715

Remote Desktop Protocol Client Information Disclosure Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-32714

Windows Installer Elevation of Privilege Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-32713

Windows Common Log File System Driver Elevation of Privilege Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-32712

Win32k Elevation of Privilege Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-32710

Windows Remote Desktop Services Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-3052

Cert CC: CVE-2025-3052 InsydeH2O Secure Boot Bypass

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-30399

.NET and Visual Studio Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-29828

Windows Schannel Remote Code Execution Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-24069

Windows Storage Management Provider Information Disclosure Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-24068

Windows Storage Management Provider Information Disclosure Vulnerability

خیر

خیر

Jun 10, 2025

Jun 10, 2025

CVE-2025-24065

Windows Storage Management Provider Information Disclosure Vulnerability

خیر

خیر

Nov 13, 2018

Jun 10, 2025

ADV990001

Latest Servicing Stack Updates

خیر

خیر

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *